发表时间:2021-07-09 17:10:45 来源:红帽社区 浏览:
次 【
大】【
中】【
小】
远程控制软件与木马的区别
首先,无论是用木马还是用正规的远程控制软件,要实现远程操控对方电脑,都需要在被控的电脑上安装一个被控端,如果不安装那么不可能实现控制。灰鸽子、黑洞等木马软件,会将被控端设计成全自动后台运行,点击一下后,被控端可能就消失掉了,其实它已经在后台悄悄的安装了。正规的远程控制软件,比如网络人、PCanyWhere等被控端的安装符合常规软件的安装流程,有安装界面供客户选择和退出。被控端如果隐藏安装,那么杀毒软件会认为你是木马,如果有安装界面正常安装,并且可以退出、卸载,那么可以认为是正规的远程控制软件。
网络人和灰鸽子等木马软件在功能上基本完全相同,都具有文件管理,屏幕监控、视频监控,远程重启、键盘记录、屏幕录像等功能,实施监控的时候,都不会被对方发现。但灰鸽子是木马,会被杀毒软件当作病毒查杀,而网络人是正规的远程控制软件,获得了360、毒霸、瑞星等杀毒软件的安全认证,不会被当作病毒查杀。
灰鸽子之类的木马软件,使用起来较麻烦,首先需要用户自己购买FTP空间或申请域名,费用约250元/一年,并且还很不稳定。然后要在路由器上做端口映射,完成这些前期工作后,还要进行服务端配置,上线设置,技术性很强,一般用户无法轻易学会使用。
网络人是国内第一款穿透内网的远程控制软件,无需做任何设置,也不用进行端口映射,即可实现远程控制。软件分为控制端和被控端两部分,只要在你想控制的电脑上安装一个被控端,填写用户名登陆,并进行简单的设置,今后您在地球上任何地方,以同一个ID登陆控制端,即可控制对方,简单方便。
木马会被当病毒查杀,而网络人不会。木马销售者一般都宣称他们的软件可以逃过杀毒软件的拦截,并且也会给你测试,但实际上那是短暂的,杀毒软件天天升级,它们今天不被杀,不意味着明天不被杀。使用木马控制,非常不稳定,一旦被拦截,就控制不了,而且被对方发现你用木马监控他,可能引发法律纠纷。
木马工作原理
一般的木马程序都包括客户端和服务端两个程序,其申客户端是用于入侵者远程控制植入木马的机器,服务器端程序即是木马程序。入侵者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。
目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被入侵者的电脑系统里,利用的途径有邮件附件、下载软件中等,然后通过一定的提示故意误导被入侵者打开执行文件,比如故意谎称这个木马执行文件,是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。一般的木马执行文件非常小,大部分都是几K到几十K,如果把木马捆绑到其他正常文件上,你很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,你执行这些下载的文件,也同时运行了木马。
木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入,由于微软的浏览器在执行Senipt脚本存在一些漏洞。入侵者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果入侵者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制CGI程序在攻击主机上执行木马目录。此外,木马还可以利用系统的一些漏洞进行植人,如微软著名的US服务器溢出漏洞,通过一个IISHACK攻击程序即可使IIS服务器崩溃,并且同时攻击服务器,执行远程木马执行文件。
当服务端程序在被感染的机器上成功运行以后,入侵者就可以使用客户端与服务端建立连接,并进一步控制被感染的机器。在客户端和服务端通信协议的选择上,绝大多数木马使用的是TCP/IP协议,但是也有一些木马由于特殊的原因,使用UDP协议进行通讯。当服务端在被感染机器上运行以后,它一方面尽量把自己隐藏在计算机的某个角落里面,以防被用户发现;同时监听某个特定的端口,等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。
验证过程(本文以冰河木马为例)
一、 在攻击机上配置服务器
1) 将冰河木马软件上传到攻击机,解压后得到服务端g_server.exe(靶机使用)和客户端g_client.exe(攻击机使用)。
2) 在攻击机上使用服务端为客户端配置
a) 设置基本配置
安装路径、文件名、进程名、敏感字符、监听端口和禁止自动拨号默认。手动添加访问口令glacier并开启自动删除安装文件。待配置文件g_server.exe必须与g_client.exe放在同个目录下。
b) 设置自我保护
设置如图所示,保持默认设置。
3) 将设置完毕的服务端上传到靶机
二、 感染靶机
在靶机上打开服务端g_server.exe,通过各种信息判断木马配置是否生效。
1) 查看端口信息
如图所示7626端口开启监听,说明程序运行成功且与设置的端口相同。
2) 查看进程信息
3) 查看注册表信息
注册表写入成功。
4) 查看安装路径
三、 远程控制靶机
1) 在客户端上搜索当前网段下感染的主机
2) 通过搜索结果连接感染的靶机,口令为glacier
3) 连接成功
4) 查看靶机系统信息
四、 验证连接关联功能
1) 在靶机上使用Windows任务管理器关闭服务端
2) 与攻击机断开连接
3) 在靶机上任意打开一个txt文件,此时服务端重新启动
4) 与攻击机重新建立连接,表示连接关联功能生效
五、 实施远程控制,执行限制系统功能
1) 执行远程关机
2) 执行远程重启计算机
3) 执行锁定鼠标
4) 执行创建文件夹
在靶机上的C盘上创建一个名为Glacier的文件夹,效果如下:
5) 执行删除文件夹
将刚才创建的Glacier文件夹删除,效果如下:
6) 执行下载文件
选择下载靶机上的文件,效果如下:
7) 执行主键浏览
面板信息显示当前主键下的键名和键值数据类型,效果如下:
8) 执行主键增加
增加一个名为XLP的主键,效果如下:
9) 执行主键删除
将刚才创建的名为XLP的主键删除,效果如下:
10) 执行键值读取
输入键名所在的主键位置和主键名称,效果如下
11) 执行键值写入
将键名EnableFirewall的键值0修改为1,效果如下:
四、 采用手工方法删除冰河木马
1) 删除步骤
Ø 检查系统文件,删除C:\Window\system下的 Kernel32.exe和 Sysexplr.exe文件。
Ø 如果冰河木马启用开机自启动,那么会在注册表项 HKEY LOCAL_ MACHINE\software\microsoft\windows\Currentversion\Run中扎根。检查该注册表项,如果服务器程序的名称为KERNEI32,EXE,则存在键值C:\windows\system\ Kemel32.exe,删除该键值。
Ø 检查注册表项HKEY_LOCAL_MACHINE\software \microsoft\windows\Current Version\Runservices,如果存在键值C:\windows\svstem\Kerel32.exe的,也要删除。
Ø 如果木马设置了与文件相关联,例如与文本文件相关联、需要修改注册表HKEY_ CLASSES_ ROOT\textfile l shell \open command下的默认值,由感染木马后的值:C\windows\system \Sysexplr.exe%1改为正常情况下的值:C: \windows\notepad.exe%1,即可恢复TXT文件关联功能。
2) 查看端口信息验证是否清除成功
7626端口未被服务端占用且打开txt文件后程序不会恢复,手动清除成功。
五、 使用冰河陷阱清理并反制入侵
1) 先通过Windows任务管理器关闭服务端程序再打开冰河陷阱,否则会提示端口被占有而无法打开冰河陷阱。
2) 成功打开冰河陷阱,尝试运行服务端
打开失败,效果如下:
3) 在攻击机上查看靶机系统信息
靶机系统重要信息已被冰河陷阱提供的虚拟文件替代,因此入侵者无法获得正确的信息,效果如下:
4) 在冰河陷阱目录中的dat文件夹中可以查看到冰河陷阱提供的虚假信息
5) 通过冰河陷阱记录入侵者的请求记录
记录的信息中包含入侵者的IP地址、所使用的登录密码、所使用的命令和入侵事件,具体如下:
6) 通过冰河信使向入侵者发送警告信息
总结
木马通常有两个可执行程序,一个是控制端,另一个是被控制端。植入靶机的是服务端,攻击机正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据。贩卖木马的人一般都宣称他们的软件可以逃过杀毒软件的拦截,但事实并非如此,现在市面上的一些杀毒软件基本都会天天升级或者更新病毒库。这就意味着远程木马控制非常不稳定,一旦被拦截,就控制不了,而且被对方发现你用木马监控他,可能引发法律纠纷。
责任编辑:
声明:本平台发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。
